《远程安全接入解决方案.doc》由会员分享,可在线阅读,更多相关《远程安全接入解决方案.doc(36页珍藏版)》请在三一办公上搜索。
1、XXX远程安全接入解决方案美国新安捷(NeoAccel) 网关 目 录一. 前言3二企业远程安全接入需求42.1 远程访问现状42.2 企业远程接入常见方式52.2.1 第一代VPN52.2.2 第二代VPN72.2.3 第三代VPN SSL VPN-Plus8三远程安全接入方案设计总则93.1 远程安全接入设计原则93.1.1 安全性和高可用性93.1.2 技术先进性、实用性原则93.1.3 可管理性原则93.1.4 规模可扩充性原则103.2 远程安全接入设计理念103.3 远程安全接入设计目标11四XXX的远程安全接入需求分析124.1 企业 背景124.2XXX 目前网络及应用状况12
2、4.3 XXX 远程安全接入面临的问题124.4 XXX 远程安全接入的需求13五XXX 远程安全接入解决方案155.1 SSL VPN 网关部署155.2 方案简介165.3 全应用支持175.3.1基于WEB的应用支持175.3.2 瘦应用支持175.3.3 Windows文件共享支持185.3.4 WEB访问支持195.3.5 全权限访问支持195.4 企业应用支持举例205.4.1 SGX对企业ERP系统的支持205.4.2 SGX对企业OA系统的支持22六. 新安捷SGX系列的优势及特点266.1 专利技术266.2新安捷SSL VPNPlus的功能特点26七. SSL VPN-Pl
3、us安全接入对企业的益处307.1 提高了信息安全307.2 灵活的用户管理和访问控制317.3 实施方便,配置简单317.4 降低管理和维护成本327.5 高度的扩展性和灵活性32八NeoAccel 厂家技术支持和售后服务体系33附录:公司简介35一. 前言目前,随着企业信息化处理不断地深入,企业资源管理的复杂度也在不断增加。一方面是一线人员渴望快速得到资源,另一方面则是企业出于安全和保密的考虑,无力开放足够的资源,两者的矛盾在一定程度上已经影响了企业快速发展。 随着移动通讯技术的进步和商务模式的发展,选择远程办公和移动办公的人越来越多。使用这种方式,企业能够大幅降低运营成本,增加员工办公的
4、灵活度和效率,继而提升企业的运作效率,增加企业收益。 另外对于企业信息化系统的安全问题,大多数企业考虑最多的还是攻击和病毒,认为他们对企业的ERP和 OA系统响最大,所以大部分的财力人力都投向了防病毒防攻击系统。当然这是对的,但这还远远不够,这是因为仍然会有很多心怀叵测的人或者组织(尤其是竞争对手)会绕过病毒或攻击的防护,对企业进行数据窃密或对破坏企业的核心数据等操作,这都会给企业造成不可弥补的损失。目前在全球,商业间谍引起的商业窃密现象屡见不鲜。所以我们不但需要对传输到网上的数据进行加密,还要对用网的终端进行严格的身份识别和权限区分,SSL VPN就是这样的设备,不仅具有多种认证方式,还能够
5、准确分权。作为一项新近发展起来的新技术,由于SSL VPN无须安装客户端的便捷性和由此带来的大幅降低的实施管理成本,在国内外得到了迅速的应用和发展。但是,传统SSL VPN产品的致命之处在其性能较差,这是SSL协议先天的不足,这就会使用户在方便安全低成本和较差的性能这两者之间进行痛苦的选择。新安捷的SSL VPN-Plus是第三代VPN,也是业界响应速度最快的远程安全接入设备。重新构建的SSL架构、单隧道体系以及透明传输、智能压缩等专利和创新技术的加入,使新安捷的SSL VPN-Plus拥有超强的性能,从而突破了传统VPN性能的瓶颈,实现了加密数据的快速转发。二企业远程安全接入需求2.1 远程
6、访问现状随着企业的发展壮大,分支机构的设立、移动办公人员的增加,使得企业必须开放更多的内网资源来满足日常办公的需要。远程接入的方式是多种多样的,但总结下来不外乎以下三种方式:通过Internet公网访问、通过专网访问、通过拨号专线访问。我们逐一对其数据安全性进行分析:通过Internet访问这种访问方式的安全性是这三种中最差的但也是大多数企业采用的方式。因特网的共享性和开放性使网上信息安全存在先天不足,因为其依赖的TCP/IP协议,缺乏相应的安全机制,而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输,基本没有考虑安全问题,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性
7、。此外,随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在并增加着。安全隐患也日益突出,病毒、黑客几乎每天都在困挠着互联网的用户。通过专网访问这种访问方式的安全性得到了一定的提升。但是拉专线的费用是比较昂贵的,只适用于固定办公场所,不能保证客户端随时随地地访问。另外,专网方式不能为用户提供网络接入层面访问的认证和授权,只能通过业务系统内部自带地程序来完成,这样业务主机就会暴露在能使用专网的所有人面前。还有一点至关重要,专网方式一般没有加密过程,所有数据,尤其是关键数据都是走明文的,这也降低了安全性。通过拨号专线访问这种方式需要在企业机房内架设拨号接入服务器。这种方式可以保证
8、员工在任何地方都能访问内网,即使出差和在家都能登陆。但它容量有限,当很多用户同时访问时会经常发生连接不上的情况。拨号专线方式受带宽限制厉害,不能享受到宽带带给我们的好处。另外在认证、授权以及加密方面,它同样存在着和专线接入一样的安全缺陷。2.2 企业远程接入常见方式由于公共线路的不安全性,以及VPN(虚拟专网)比租用专线更加便宜、灵活,致使现在有越来越多的公司采用VPN进行远程接入,替代连接SOHO和出差在外的员工以及分公司和合作伙伴的广域网。VPN是在互联网上建立加密隧道,通过“隧道”协议,在数据发送端加密,在接收端解密,从而保证数据的私密性。2.2.1 第一代VPN第一代VPN采用的是IP
9、Sec协议,其典型部署是在Site-to-Site端点到端点的网络环境中。IPSec是网络层的VPN技术,它独立于应用程序,以自己的封包封装原始IP信息,因此可隐藏所有应用协议的内容,一旦IPSec建立加密隧道后,就可以实现各种类型的连接。IPSec以其相对较高的吞吐量以及安全性,被很多企业所接受。但是,部署IPSec需要对网络基础设施进行重大改造,花费的人力物力甚巨,同时IPSec VPN在解决远程安全访问时有几个比较大的缺点:安全性低 虽然数据在传输过程中是加密的,但是IPSecVPN对于终端安全检查却是零,这一点相信企业的网络管理者深有感触,其表现为:第一、IPSec的用户验证方式单一并
10、且简单,它无法明确区分使用该终端的人是否是可 授权的指定用户,管理员无法准确知晓究竟是谁在利用VPN使用内网资源;第二、IPSec无法对终端设备软件系统的安全性做出评估,无法检查终端用户的应用环境,断开VPN连接后,所有曾经访问过的cookie、URL等均保留在终端,增加了不安全因素;第三、IPSec VPN隧道一旦建立,用户的PC机就像在公司局域网内部一样,用户能够直接访问公司全部的应用,由此会大大增加风险;第四、VPN登陆之后的所有操作都是直接作用在被访问资源上的,由于缺乏必要的终端检查,致使内网资源受损的几率很高;第五、IPSec针对用户或用户组的授权访问,实现起来非常困难,无法根据用户
11、性质进行分权,这是管理员很头疼的问题,无法实现分权就只能有限地开放网络资源,网络不能有效地用于生产生活。可靠性低 IPSec最适合的环境是固定办公区域,移动办公用户需要安装客户端软件才能建立加密隧道,但并非所有客户端环境均支持IPSec VPN的客户端程序。终端用户可能需要做出类似重新安装系统那样复杂的操作,才能使用;IPSec VPN的连接性还会受到网络地址转换(NAT)或网关代理设备(proxy)的影响,终端用户如果身处外部网络,想使用IPSec VPN连接,如何穿透防火墙将是一大难题,不适合用作移动用户,如家庭、网吧,宾馆等上网用户;投资费用高从投资的角度看IPsec VPN。要真正建立
12、IPSec VPN,单单有VPN硬件设备和客户端软件是很不够的。如果没有防火墙和其他的安全软件,客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用,他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍,而且后果也越来越严重。例如,如果员工从家里的计算机通过公司VPN访问企业资源,在他创建隧道前后,他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏,那么,病毒就很有可能经过VPN在企业局域网内传播。另外,如果黑客侵入了这台没有保护的PC,他就获得了经过IPSec VPN隧道访问公司局域网的能力。因此,在建设IPSec VPN时,必须购买适当的安全软件,这个软件的成本必须考虑进
13、去也是很高的。维护费用高IPSec VPN最大的难点在于客户端需要安装复杂的软件,需要经过培训才能够掌握。而且当用户的VPN策略稍微有所改变时,其管理难度将呈几何级数增长。客户端软件的维护带来了人力开销,而这是许多公司希望能够避免的。部署IPSec VPN之后,另外一些安全问题也会暴露出来,这些问题主要与建立了开放式网络连接有关。除此以外,除非已经在每一台计算机上安装了管理软件,软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务。2.2.2 第二代VPN 第二代VPN采用的是SSL协议,与IPSec VPN相比,SSL VPN具有如下优点:SSL VPN的客户端程序,如Microso
14、ft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中,因此不需要再次安装;SSL VPN可在NAT代理装置上以透明模式工作;SSL VPN不会受到安装在客户端与服务器之间的防火墙等NAT设备的影响,穿透能力强;SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方,使更多的员工,在更多的地方,使用更多的设备,安全访问到更多的企业网络资源,同时降低了部署和支持费用; 客户端安全检查和授权访问等操作,实现起来更加方便。 SSL VPN可以在任何地点,利用任何设备,连接到相应的网络资源上。IPSec VPN通常不能支
15、持复杂的网络,这是因为它们需要克服穿透防火墙、IP地址冲突等困难。所以IPSec VPN实际上只适用于易于管理的或者位置固定的地方。可以说从功能上讲,SSL VPN是企业远程安全接入的最佳选择。 但是虽然SSL VPN具有以上众多的优点,却由于SSL协议本身的局限性,使得性能远低于使用IPSec协议的设备。用户往往需要在简便使用与性能之间进行痛苦选择。这也是第二代VPN始终无法取代第一代VPN的原因。2.2.3 第三代VPN SSL VPN-Plus为了从根本上解决SSL VPN性能瓶颈,以新安捷(NeoAccel,INC)为代表的专业安全接入厂商,凭借强大的研发实力,经过刻苦的攻关,终于研制
16、出了新一代SSL VPN构架SSL VPN-Plus。SSL VPN-Plus的创新技术之处是重新构建了SSL协议模型,使用单隧道方式处理加密数据包,从根本上解决了由于双TCP叠加带来的性能瓶颈,突破了传统SSL VPN设备的局限性,降低响应时间,提高设备性能。SSL VPN-Plus的整理性能可以达到并超过IPSec VPN,同时还能够提供SSL VPN便捷的使用和管理、低廉的投资和维护成本,提高用户的体验。三远程安全接入方案设计总则3.1 远程安全接入设计原则3.1.1 安全性和高可用性VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必需要确保其VPN上传送
17、的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。VPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。远程安全接入安全性包含以下特征:u 数据加密:在安全性要求高的场合应用数据加密则进一步保护了数据的私有性,使数据在网上传送而不被非法窥视与篡改。u 数据验证:在不安全的网络上,特别是构建远程安全接入的公用网上,数据包有可能被非法截获,篡改后重新发送,接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改,保证了数据的完整性。 u 用户验证:远程安全接入可使合法用户访问他们所需的企业资源,同时还要禁止未授权用户的非法访问。通过AAA可以提供用户验证、访问级别
18、以及必要的访问记录等功能。这一点对于远程安全接入具有尤为重要的意义。u 高可用性:在远程安全接入中,要防止出现单点故障,确保一台设备发生故障时,能够保证应用的正常访问。3.1.2 技术先进性、实用性原则远程安全接入不仅要求能充分利用现有的网络资源,而且要满足未来发展的需要。这就要求规划设计必须考虑到技术的可行性和先进性,同时要考虑到前瞻性。在安全接入产品的选择上,需要权衡现有需求和未来发展需要之间、现有技术的可获得性和未来技术发展方向之间的矛盾。远程安全接入设计在满足以上要求的同时还必须做到经济实用,以节约投资,必须以有限的投资获得较高的性能,即系统应该具有较高的性能价格比。3.1.3 可管理
19、性原则系统的管理维护是一项繁重的工作,代价也极高。可以说,一个系统的易维护性决定了该系统的寿命,也决定了该系统的实际运行成本,同时,如果一个系统容易维护,则发生错误的概率就会大大降低。系统的管理易维护性体现在软硬件两个方面。硬件易维护性主要指安装、升级简单方便,后备配件充足。软件易维护性主要指体系结构清楚,易理解,同时,管理界面友好,易操作。3.1.4 规模可扩充性原则易扩展性是业务发展的需要。随着企业用户的不断增加,业务的不断扩展,应用规模也迅速膨胀。为了保护现有投资,也为了满足用户的需要,提供优质服务,必须保证组建的系统很容易扩展。在业务数量剧增的情况下依然能够提供优质服务,这就要求我们的
20、系统具有良好的可扩展性3.2 远程安全接入设计理念远程安全接入设计必须架构在科学的体系和框架之上,因为框架是方案设计和分析的基础。为了系统、科学地分析远程安全接入涉及的各种问题,行业里的专家们提出了远程安全接入的整体设计理念模型,远程安全接入模型示意图如下: 在此体系模型中,完整地将远程安全接入的全部内容进行了科学和系统的归纳,详尽地描述了远程安全接入所使用的技术、服务的对象和涉及的范围。3.3 远程安全接入设计目标确保为用户提供高安全性、高可用性、高性能、易管理的解决方案。四XXX的远程安全接入需求分析4.1 企业 背景(根据具体项目自己写)某企业有18个分支机构单位,需要与总部进行远程接入
21、访问,数据量大约为1M左右,每个分支机构单位只需一台电脑访问总部网络即可。4.2 XXX 目前网络及应用状况现阶段XXX的网络情况如下图:所有的应用和数据放置在公司总部,上海和昆山通过网通的2兆DDN专线连入公司总部,SOHO 和移动办公人员直接访问被映射到公网的公司资源。在总部的应用系统很多,包括:文件共享、DRP、SAP、OA、Notes、WEB 等等。应用有基于B/S 和 C/S 架构。4.3 XXX 远程安全接入面临的问题 根据对XXX目前的网络及应用分析,我们认为存在以下几个问题及隐患:安全性低 DRP系统被直接开放公网地址和端口,很容易被黑客或不怀好意的人入侵,DRP系统的资料容易
22、丢失。而且也容易感染病毒,造成系统宕机,使客户没办法访问DRP系统。 用户和内部服务器直接的交互,数据的发送都是明文的。 对访问内部资源缺少用户身份认证和授权机制。 对用户及其访问的内容没有审计; 没有对客户端的机器安全进行检查及实施相应策略的机制,使病毒等有害程序轻易进入内网;可用性差 由于XXX的许多应用是基于C/S架构,这些应用都有自己的一些特殊端口,这些端口在宾馆、机场等许多地方被封掉,那么移动办公的人员将不能访问公司的一些应用。4.4 XXX 远程安全接入的需求 根据远程安全接入的设计原则,结合XXX公司的实际情况,XXX 远程安全接入完成后应达到如下效果: 较高的安全性 安全对企业
23、的生存和发展至关重要,如果因为客户端的不安全因素导致总部服务器群经常出现状况的话,对企业自身的运作和生产是十分不利的。所以新的设备在安全性上应该具备以下特征: 必须支持多种用户认证方式,可以与现有网络内的认证设备兼容; 必须具备终端安全检查。可以检查终端系统类型、补丁版本、是否安装有杀毒软件、防垃圾邮件等或者检查特定位置的文件是否存在。通过这些检测来分配用户区域以及授权访问; 终端检查不仅要针对WAN使用VPN的用户,还需要针对LAN内部互相访问的终端设备; 必须能清晰并轻松地对用户进行分权管理,不同等级的用户有不同的访问权限和资源; 必须在终端断开VPN连接后,对终端所保存的信息进行清理,甚
24、至能够卸载客户端软件; 优良的性能和响应 接口设备的性能是企业需要考虑的重要因素,因为这直接影响到企业资源的运作能力和未来的发展。新设备本身需要有较大吞吐,同时还应该具有独特的数据包处理技术,在宽带网、窄带网以及在损耗较严重、丢包率较高的网络环境里,均能够实现数据包的快速传输。 支持网内全部应用远程安全接入设备必须能够支持所有类型的应用,对网内目前运行的应用支持加密访问,并且设置权限,使不同类型的用户,访问不同类型的资源。并且对事件进行记录。 简捷的安装部署 不需或最少量的对现有的网络拓扑进行修改; 利用现有的认证系统; 无需对任何客户端进行安装及管理; 网关的管理要简单。五XXX 远程安全接
25、入解决方案5.1 SSL VPN 网关部署 通过对XXX公司的需求分析,我们建议采用NeoAccel SGX产品解决远程安全接入的需求。(部署如下图)两台 NeoAccel SGX 做HA,安全、高效地把需要访问内部资源的用户接入。 SGX SSL VPN 网关单臂连接核心交换机。企业需要赋予SGX IP地址或域名做为入网门户。所有VPN用户必须登陆此门户站点才能访问内部服务器组,同时每个用户必须有有效的帐号、口令并享有访问SSL VPN各种资源的相应权限。SGX门户的IP地址可以是公网地址,也可以是防火墙等设备NAT后的私网地址,此时,NAT设备只需要开放TCP 443端口并映射门户地址为公
26、网地址。5.2 方案简介如上图所示,企业内部的资源是多种多样的,同时针对不同的组织和群组,其开放的权限也是不同的。 通过部署新安捷的SSL VPN-Plus,操作人员无论是在分公司、合作伙伴办公地点,还是员工在家、酒店,以及供货商等在任何地方都可以远程进行安全的业务操作和系统维护操作,而不必担心非授权人员的非法访问。在登陆以及通信过程中,SSL VPN-Plus还能够不断地对客户端的安全做评估,随时切断可疑主机,防止黑客、病毒以及间谍程序的侵入。5.3 全应用支持5.3.1基于WEB的应用支持企业的大部分内网资源,可以以WEB浏览器形式对外开放。在不用安装任何客户端软件的情况下,SGX支持所有
27、基于WEB的应用,如公司内网主页、Web Outlook等:5.3.2 瘦应用支持目前在无客户端情况下,SGX支持四种瘦应用,分别为:Telnet、SSH、VNC和RDP。企业可以根据用户性质,开放内部不同主机的命令权限。5.3.3 Windows文件共享支持在企业日常的运作中,会经常有文件或主机共享的需求,SGX的文件共享功能可以完全满足这方面需要,安全开放内网主机的文件夹或主机本身,供远程用户访问。该功能也不需要安装客户端程序。5.3.4 WEB访问支持有些单位出于访问安全以及审计方面的考虑,会要求所有分支机构的Internet访问,必须通过公司总部,使用SSL加密方式。SGX不用安装客户
28、端程序,即可实现此需求。远程用户必须登陆门户站点,使用页面提供的地址栏进行网页访问操作。5.3.5 全权限访问支持企业中肯定会有一些特殊用户,比如网络管理员、公司领导等,他们需要的权限很大,需要自己在远程访问时也能够像在内网一样顺畅操作。这样的需求,SGX能够提供两种实现方式:QAT和PHAT。QAT方式不需要下载安装客户端程序,只需主机支持Java,使用这种方式可以使用内网所有基于TCP协议的应用,适用于需要操作更简便的员工、不希望在主机上安装多余程序的人员或合作单位。PHAT方式需要安装客户端,安装过程简单且快速,用户端不需要做任何设置,只需要按照提示点击安装即可。这种方式登陆的主机会得到
29、内网IP地址,所有操作就像在内网一样顺畅。5.4 企业应用支持举例5.4.1 SGX对企业ERP系统的支持 为了能够快速发展壮大,已经有越来越多的企业开始部署ERP系统。早期的ERP系统是以Client/Server方式为基础的,但随着Web标准平台的普及,多数企业已开始将ERP系统移植到Web上,而采用SSL VPN设备来实现Web应用的远程安全访问,则是最佳手段。 对于不采用WEB平台的ERP系统(如采用ERP专用客户端C/S结构),SGX产品可以使用QAT或PHAT访问模式来满足这些C/S结构的ERP应用。SGX部署方式如下图: 采用SSL VPN-Plus的第一项好处就是降低成本,包括
30、初期投资和日后的维护成本。部署SSL VPN-Plus很简便,基本不需要改变现有拓扑结构。由于可以不使用客户端即可以访问企业资源,使用者基本上不需要IT部门的支持,同时企业只需要管理一种设备即可,不必维护、升级或配置客户端软件。 SGX更容易满足大多数员工对移动连接的需求。用户通过因特网与任务设备实现连接,只需借助浏览器或客户端程序提供的SSL隧道即可获得企业内部资源的安全访问,即使该员工身在外地,使用一台危险系数较高的主机。SGX性能更高。SGX目前是业界SSL加密包转发速度最快的VPN设备,这主要得益于其多项创新的专利技术的应用,这种第三代VPN的所有型号设备中都集成了这些技术,可以满足企
31、业不同网络环境的需求。SGX更安全。ERP系统一般都采用集中式部署结构:数据库服务器和应用服务器被安置在计算中心局域网内的核心网段上。所有外地用户(包括外地局域网用户和远程访问用户)都必须通过防火墙的过滤才能够访问核心网络及其上的ERP系统。我们可以看到, ERP系统的安全主要依靠防火墙来实现。但这对于ERP系统的安全是远远不能满足的,例如防止病毒入侵、数据的加密、用户的认证和分权、缓存清除等。对于数据的加密,如果不使用VPN技术,企业通常会借助ERP系统本身的软件加密,但软件加密会消耗大量用户服务器的资源,直接影响到ERP系统的响应速度。用户的认证和授权,对于ERP系统本身来说,实现起来很不
32、容易。ERP系统一般也会有自己的基于对象权限和用户角色概念的授权机制,但是它的授权机制是在应用层做的,不能在网络层对接入用户做授权。一旦黑客攻入系统主机,仍有可能对系统进行破坏,或者窃取数据。SGX对ERP三种接入方式的支持:对于B/S架构的ERP系统,使用SGX的WAT访问模式即可,无需安装客户端程序。使用这种方式可以实现:通过标准浏览器访问企业ERP WEB系统;支持URL-NAT:URL的动态重写,提高安全性;强迫认证,强迫任何访问Intranet的请求都必须先通过AAA;隐藏内部资源:可以隐藏Intranet的资源路径,提高整体安全性。对于C/S结构的ERP系统,使用SGX的QAT或P
33、HAT访问模式。使用QAT模式时,客户端将使用Java Applet做为TCP PROXY,所有基于TCP的ERP应用,都可以实现访问,比通过隧道方式实现要安全的多。ERP系统的维护人员需要更高的操作自由度,所以需要以SGX的PHAT模式进行全权限访问。此访问模式是在客户端和SGX之间通过SSL的连接建立一条VPN通道,客户主机将会被配置一个和企业内网地址一致的网址,并通过这条VPN通道直连到企业内网,就好像在企业内部一样。5.4.2 SGX对企业OA系统的支持Microsoft Exchange Server系统Exchange Server并不是简单的E-mail服务器的代名词,而是一种交
34、互式传送和接收的重要平台,它包含了一般信息、特殊格式的文件、多媒体、图片或其他的对象。做为Exchange的前端工具的Outlook,现在更突出了它的重要性,它不但可以用来收发E-mail,还含有便笺、草稿、任务、日历、日志、联系人与公用文件夹等,如果再配合Microsoft Office各项结构化文件,加上其传阅功能,即可建立一个资源管理系统,让协同作业正常运行。从上图我们可以看出,以Exchange Server为基础构成的企业OA系统的客户端和OA server的架构也基本分为两类: 基于WEB,客户端采用OWA接入,既采用Web Browser接入OA系统; 基于TCP的C/S结构,客
35、户端采用Outlook。对于OWA接入:可以使用WAT模式来实现安全访问,可以实现: 通过标准浏览器访问企业OA系统; 支持URL-NAT:URL的动态重写,提高安全性; 强迫认证,强迫任何访问Intranet的请求都必须先通过AAA; 隐藏内部资源:可以隐藏Intranet的资源路径,提高整体安全性。对于Outlook做为客户端接入exchange server EMAIL系统:可以使用SGX的QAT和PHAT模式来实现安全访问。对于使用Outlook接入Exchange server 复杂应用:推荐使用SGX的PHAT模式来实现。此访问模式是在客户端和SGX之间通过SSL的连接建立一条VP
36、N通道,客户主机将会被配置一个和企业内网地址一致的网址,并通过这条VPN通道直连到企业内网,就好像在企业内部一样。IBM Lotus Domino 系统IBM Lotus Domino 是一个世界级的消息服务解决方案,同时,它还是快速开发平台,用户可以基于此平台快速开发协作应用。功能包括: 内置核心任务 (邮件、日历、目录、安全、Web服务等) ;集成Domino管理、统计、监控等功能 IBM Lotus Notes 是客户端软件,它提供了工业级的最高安全性,它是一个完全功能的协作客户端 通过Lotus Notes,用户可以访问邮件、日历、待办事宜、联系人信息等 Lotus Notes客户端家
37、族支持从Web浏览器, 移动设备, 甚至Microsoft Outlook访问Domino。下图是Lotus Notes典型拓扑结构:对于基于Web接入:可以使用WAT模式来实现安全访问,可以实现: 通过标准浏览器访问企业OA系统; 支持URL-NAT:URL的动态重写,提高安全性; 强迫认证,强迫任何访问Intranet的请求都必须先通过AAA; 隐藏内部资源:可以隐藏Intranet的资源路径,提高整体安全性。对于Notes 客户端接入Domino 系统:可以使用SGX的QAT或PHAT访问模式。使用QAT模式时,客户端将使用Java Applet做为TCP PROXY,所有基于TCP的E
38、RP应用,都可以实现访问,比通过隧道方式实现要安全的多。使用PHAT模式时,客户端和SGX之间通过SSL的连接建立一条VPN通道,客户主机将会被配置一个和企业内网地址一致的网址,并通过这条VPN通道直连到企业内网,就好像在企业内部一样。六. 新安捷SGX系列的优势及特点 6.1 专利技术 SSL VPNPlus是新安捷公司倾力打造的新一代安全接入网关,依靠其主要的三项专利技术,解决了TCP-over-TCP崩溃问题,突破了传统SSL VPN性能的瓶颈,成为业界性能最高、转发速度最快的VPN网关。专利技术如下: ICCA 高智能联接加速架构(ICCA)技术。从根本上解决了TCP崩溃引起的传输速度
39、问题。 TSSL 透明SSL引擎(TSSL)技术。最优化地处理SSL数据包传输,联合硬件处理器,使 SSL VPN-Plus具有最佳的性能。ATCE 加速引发压缩引擎(ATCE)技术。采用独特算法来处理压缩的过程,智能压缩,最终使信息传输速度与一般没有加密的信息传输速度相当。另外新安捷的开发人员充分考虑了窄带网络和高损耗网络的特点,使设备能很好地适应上述网络环境,保障数据包的快速转发。6.2新安捷SSL VPNPlus的功能特点性能高 NeoAccel SSL VPN-Plus拥有三项专利技术(高智能联接加速构架(ICCA)技术、透明SSL引擎(TSSL)技术和加速引发压缩引擎(ATCE)技术
40、),这使得在多用户同时访问内网资源时,设备性能不但不会因使用增多而下降,反而会因为使用了动态压缩而得以提高。支持网内全部应用WEB应用 SSL VPN-Plus支持全部使用纯WEB进行的网络访问,而且无需安装任何客户端。例如:内网的WEB、web outlook、word等。瘦客户端应用 SSL VPN-Plus支持四种瘦客户端应用:SSH、Telnet、Windows RDP、VNC。只使用Session-only 的Java Applets,无需安装客户端。快速访问终端(QAT) SSL VPN-Plus支持终端用户在不安装客户端软件的情况下使用全部的基于TCP的应用,通过IE和Java程
41、序进行认证,方便远程移动用户安全接入。完全访问终端(PHAT) SSL VPN-Plus支持带客户端的终端访问,该模式下用户可以使用所有开放的内网资源。客户端程序可以安装在多种操作系统上,例如Windows 2000、 Windows XP、MacOS X、Linux等。客户端程序安装简单,无需培训,自动安装。安全性高 SSL VPN-Plus支持多种用户认证方式,具有完备的客户端安全检查程序,且设置操作简单。有40多种预设供管理员选择,例如: Microsoft Windows Service Packs (是否存在及最新)、安全补丁(是否存在及最新)、防火墙是否激活、自动更新是否激活、防垃
42、圾邮件是否激活以及对Internet Explorer的安全设置进行检查等。除了预设的选项,还可以根据管理需要手动设置规则,非常方便。同时也能使网管员放心让用户接入。其表现如下: 对用户的终端进行安全检查,从而确定其访问权限;支持传统的Radius、LDAP 、Active Directory、SecurID 等认证方式,同时提供Local(本地数据库)认证;基于用户或用户组的接入控制;基于URLs限定接入内部资源;基于用户IP地址限定接入基于用户或用户组的接入控制;基于URLs限定接入内部资源;基于用户IP地址限定接入;根据权限对用户的访问在应用层上进行控制,某些受限用户将只能访问有限的内网
43、资源; 可以对用户及其访问的内容进行审计; 对客户端的机器在接入内网前以及可以周期地进行安全检查,并实施相应的策略,以防病毒等有害程序进入内网; 绑定用户在专门的机器上,所以用户只能在被绑定的机器上登陆。这样可以防止有人在偷窃了其他人的登陆密码后在未被绑定的机器上登陆。技术可靠性高 新安捷的SSL VPN-Plus支持全网应用,用户可以通过四种方式对内网进行加密访问,而方式选择、权限开放等全部掌握在管理员手中。即使选择安装客户端的“全访问权限”模式,也无需像IPSec那样进行复杂;SSL VPN-Plus的加密连接不会受到网络地址转换(NAT)或网关代理设备(proxy)的影响,同时支持Sit
44、e-to-Site端到端的SSL加密访问,所以终端用户可以在任何地点使用任何设备都可以安全地对内网任何开放的资源进行访问。审计和管理 记录所有行为 用户登陆/登出 认证/授权成功或失败 访问过的 URLs 支持Syslog 最多8个可配置的log消息 Emergency, Alert, Critical, Error, Warning, Notice, Info, Debug Log消息时间戳 支持SNMP V2 支持 SNMP GET,允许实时地监测系统状态,包括流量负载,活动连接,用户登陆/登出和认证失败等。维护费用低廉 不需对现有的网络拓扑进行修改; 可以利用现有的认证系统(AD服务器)
45、; 无需对任何客户端进行安装及管理; 网关的管理简单,明了。多层安全控制机制 基于用户或用户组的接入控制;基于URLs限定接入内部资源;基于用户IP地址限定接入; 端到端的SSL加密; 强大的AAA功能; 隐藏内部资源路径。七. SSL VPN-Plus安全接入对企业的益处 通过部署新安捷的SGX系列SSL VPN-Plus设备,可以实现企业内网多种应用系统的远程安全接入,可以为企业提供从任何设备、在任何地方对任何应用访问的最安全和最高性能的解决方案,由其多项创新的专利技术带来的超高性能,为企业带去的是“帮助企业提高生产力,改善用户使用体验”。新安捷的安全接入解决方案具有以下优点:7.1 提高了信息安全 防止信息泄漏 由于客户端与SSL VPN网关之间实现高强度的加密信息传输,因此虽然信息传输是通过公网进行的,但是其安全性是可以得到保证的。第三方即使可以得到传输数据,但是却无法得到隐藏到其中的明文信息。因此敏感的信息如业务帐号等被保护起来,杜绝了有效信息的泄露。 杜绝非法访问 SSL VPN的访问要经过认证和授权,充分保证用户身份的合法性。SSL VPN只允许那些拥有相应权限的用户进行网络连接。如果请求连接的用户没有合法身份,则SSL VPN将拒绝其连接请求,从而限制了非法用户对内网的访问。 保护信息的完整性 SSL VPN使用数字证
